Un ransomware cifra los sistemas de un hospital. En las siguientes horas el equipo jurídico se enfrenta a dos relojes corriendo en paralelo: el plazo NIS2 para notificar al CSIRT nacional y el plazo RGPD para notificar a la AEPD si hay datos de pacientes comprometidos. Son dos obligaciones distintas, con contenidos distintos, ante autoridades distintas, y con consecuencias distintas si se incumplen. La confusión entre ambas es uno de los errores más costosos que cometen las organizaciones sanitarias cuando intentan gestionar un incidente bajo presión.

NIS2 y el RGPD coexisten en el sector sanitario como marcos de obligado cumplimiento simultáneo. La Directiva NIS2 entró en vigor a nivel europeo el 16 de enero de 2023, con plazo de transposición hasta el 17 de octubre de 2024. La ley de transposición está aún en tramitación parlamentaria, pero las obligaciones de la directiva son la referencia operativa que cualquier hospital debe tener en cuenta desde ya. Para la mayoría de hospitales, centros de diagnóstico y fabricantes de dispositivos médicos esto significa que tienen dos marcos regulatorios activos simultáneamente, con lógicas distintas, pero con zonas de solapamiento que hay que gestionar con precisión.

Qué regula cada marco: objetivos y lógica de fondo

El RGPD protege derechos fundamentales de personas físicas en relación con el tratamiento de sus datos personales. Su lógica es de protección del interesado: garantizar que los datos de salud se traten con base jurídica legítima, que el paciente pueda ejercer sus derechos, que el responsable implemente medidas técnicas y organizativas proporcionales al riesgo, y que cualquier brecha que pueda afectar a los derechos de los interesados se notifique.

NIS2 protege la resiliencia y seguridad de redes y sistemas de información de sectores críticos para la economía y la sociedad. Su lógica es de continuidad operativa: garantizar que las entidades esenciales e importantes tienen capacidad para prevenir incidentes, detectarlos, responder y recuperarse. No le interesa directamente quién es el titular de los datos comprometidos; le interesa que el servicio sanitario funcione y que las amenazas se notifiquen al sistema de inteligencia de ciberamenazas nacional.

Son marcos complementarios, no redundantes. El RGPD entra cuando hay datos personales implicados. NIS2 entra cuando hay un incidente significativo en los sistemas de la entidad, con independencia de si hay datos personales afectados o no.

Quién queda obligado en el sector sanitario

El RGPD aplica a cualquier organización que trate datos personales de pacientes, trabajadores o proveedores: desde una clínica dental de dos personas hasta un hospital universitario de referencia. La escala no exime de la obligación de tener base jurídica, registro de tratamientos y medidas de seguridad proporcionales.

NIS2 aplica a un subconjunto más específico del sector. Los hospitales que superen los umbrales de tamaño definidos por la directiva (en general, medianos y grandes) quedan clasificados como entidades esenciales. Los proveedores de servicios de diagnóstico, laboratorios clínicos y fabricantes de productos sanitarios de cierta dimensión quedan como entidades importantes. Ambas categorías tienen obligaciones, aunque las entidades esenciales están sujetas a supervisión proactiva y las entidades importantes a supervisión reactiva.

La realidad práctica es que la mayoría de hospitales públicos y privados de tamaño relevante en España están obligados por los dos marcos al mismo tiempo.

5 Diferencias clave entre NIS2 y RGPD

  1. Objeto de protección. El RGPD protege datos personales. NIS2 protege sistemas de información y continuidad de servicios. Un incidente que afecte solo a disponibilidad de sistemas sin comprometer datos personales activa NIS2 pero no el RGPD. Un tratamiento indebido de datos personales sin incidente de seguridad activa el RGPD pero no NIS2.
  2. Autoridad supervisora. El RGPD es supervisado en España por la AEPD. NIS2 es supervisado por el CCN-CERT para el sector público y el INCIBE-CERT para el sector privado, con el DSN (Departamento de Seguridad Nacional) como coordinador a nivel estratégico. Son instituciones distintas con poderes de investigación distintos.
  3. Enfoque de las obligaciones. El RGPD exige medidas de seguridad proporcionales al riesgo para los datos personales tratados, con especial atención a datos de categoría especial como los datos de salud. NIS2 exige un marco de gestión de riesgos de ciberseguridad con componentes específicos: políticas de seguridad, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, formación del personal, y controles técnicos concretos.
  4. Responsabilidad de la dirección. El RGPD establece responsabilidad del responsable del tratamiento, que puede ser una persona jurídica. NIS2 añade responsabilidad personal directa de los miembros del órgano de dirección por el incumplimiento de las obligaciones de ciberseguridad, incluyendo la posibilidad de inhabilitación temporal para el ejercicio de funciones directivas.
  5. Sanciones máximas. El RGPD establece multas de hasta 20 millones de euros o el 4% del volumen de negocio global para las infracciones más graves. NIS2 fija multas de hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales. En la práctica, un incidente que active ambos marcos puede acumular sanciones de las dos autoridades de forma independiente.

Dónde se solapan: el escenario que activa los dos marcos a la vez

El solapamiento más crítico y más frecuente es el incidente de ciberseguridad con datos de salud comprometidos. Un ataque de ransomware que cifra los sistemas del hospital y exfiltra historiales clínicos activa simultáneamente:

Bajo NIS2: obligación de notificar al CSIRT en 24 horas (alerta temprana), en 72 horas (notificación formal con evaluación preliminar del incidente) y en un mes (informe final). El contenido de la notificación es técnico: qué sistemas afectados, qué impacto en el servicio, qué medidas de contención se han tomado.

Bajo RGPD: obligación de notificar a la AEPD en 72 horas desde que el responsable tiene conocimiento de la brecha, si hay probabilidad de que la brecha afecte a los derechos y libertades de los interesados. Los datos de salud son categoría especial, por lo que el umbral de notificación es bajo. El contenido de la notificación es distinto: qué datos afectados, cuántos interesados, qué consecuencias probables para los pacientes, qué medidas correctoras.

Si la brecha afecta a más de 250 pacientes o implica datos de salud con riesgo elevado, hay que notificar también a los propios pacientes directamente, con información clara sobre qué datos se han visto comprometidos y qué pueden hacer para protegerse.

Las dos notificaciones corren en paralelo, tienen contenidos diferentes y van a destinatarios diferentes. Gestionarlas como una sola es un error que la AEPD y el CCN-CERT han documentado en sus guías de respuesta a incidentes.

Plazos de notificación: la trampa del doble reloj

En la práctica, el incidente ocurre a las 3 de la mañana, el equipo de TI lo detecta a las 6 y la dirección tiene conocimiento a las 9. Desde ese momento:

El plazo NIS2 de 24 horas para la alerta temprana empieza a correr desde la detección del incidente significativo. El plazo RGPD de 72 horas empieza a correr desde que el responsable del tratamiento tiene conocimiento de la brecha. Si la organización no tiene claro cuál es el momento de «conocimiento», el plazo puede empezar antes de lo que el equipo jurídico asume, y una notificación fuera de plazo se convierte automáticamente en una infracción adicional.

La clave para gestionar esta situación es tener un protocolo de respuesta a incidentes que defina: quién tiene autoridad para declarar el «momento de conocimiento», quién notifica a qué autoridad y con qué contenido, y cómo se coordinan el equipo de ciberseguridad, el DPO y la dirección en las primeras horas. Sin ese protocolo documentado y ensayado, la presión del incidente lleva a errores de procedimiento que complican la situación ante los supervisores.

Sanciones: cuál aplica en cada caso y cómo se acumulan

Las sanciones NIS2 y RGPD son independientes entre sí. Una brecha que origine sanciones de ambas autoridades supone la suma de dos procedimientos sancionadores distintos, con plazos de prescripción distintos y con criterios de graduación distintos.

Lo que determina qué sanción aplica no es el incidente en sí, sino el marco bajo el que se evalúa el incumplimiento. Si el incumplimiento es no haber implementado medidas de gestión de riesgos de ciberseguridad, sanciona el supervisor NIS2. Si el incumplimiento es no haber notificado la brecha de datos en plazo a la AEPD, sanciona la AEPD. Si ambos incumplimientos existen simultáneamente, ambos supervisores pueden actuar de forma independiente.

La doctrina sancionadora de la AEPD en los últimos tres años muestra un endurecimiento progresivo en el sector sanitario, con resoluciones que aplican criterios agravantes por la especial sensibilidad de los datos de salud. La entrada en vigor de NIS2 añade un segundo frente sancionador con supervisores con poderes de inspección activa para entidades esenciales.

Cómo construir un programa que cubra los dos marcos

La tentación es gestionar NIS2 y el RGPD como dos proyectos separados con dos equipos distintos. Es el enfoque más caro y el que genera más duplicidades. El enfoque eficiente es identificar los controles comunes y construirlos una sola vez.

La evaluación de riesgos como eje central. Tanto el RGPD como NIS2 exigen una evaluación de riesgos. Son evaluaciones con metodologías distintas (el RGPD usa el concepto de evaluación de impacto relativa a la protección de datos, NIS2 usa gestión de riesgos de ciberseguridad) pero pueden compartir el inventario de activos de información y la identificación de amenazas. Un enfoque estructurado de gestión de riesgos reduce el trabajo duplicado entre los dos marcos.

El DPO y el responsable de seguridad coordinados. El RGPD puede exigir un DPO (obligatorio para hospitales por el artículo 37 del RGPD). NIS2 exige un responsable de seguridad de la información con competencias para gestionar el programa de ciberseguridad. En hospitales pequeños o medianos, estas funciones pueden solaparse en la misma persona o en el mismo equipo externo. La figura del DPO externo puede cubrir la dimensión de privacidad mientras un equipo de ciberseguridad cubre la dimensión NIS2, con coordinación formal entre ambos.

Un solo registro de incidentes. El registro de incidentes de seguridad que exige NIS2 y el registro de brechas que exige el RGPD (artículo 33.5) pueden mantenerse en un solo sistema con campos específicos para cada marco, reduciendo el trabajo administrativo y facilitando la auditoría de ambas autoridades.

Política de notificación unificada con destinatarios distintos. El protocolo de respuesta a incidentes debe identificar explícitamente qué eventos activan solo NIS2, cuáles solo el RGPD y cuáles los dos a la vez, con los destinatarios de notificación, los plazos y los responsables de cada comunicación. Esta política necesita revisión y prueba al menos anual.

Formación del personal como control compartido. Tanto el RGPD (artículo 39) como NIS2 exigen formación del personal en materia de seguridad y privacidad. Un programa de formación bien diseñado puede cubrir las obligaciones de ambos marcos con un único plan formativo anual, reduciendo el coste y garantizando coherencia en los mensajes. Para ver qué elementos debe incluir, la referencia sobre cumplimiento de NIS2 incluye criterios aplicables también a la formación exigida por el RGPD.

Cómo puede ayudar PrivaLex

PrivaLex trabaja con hospitales, centros de diagnóstico y fabricantes de dispositivos médicos en la implementación integrada de NIS2 y RGPD. El punto de partida es siempre un análisis de brechas que identifica qué controles exigidos por cada marco ya existen, cuáles faltan y cuáles pueden construirse una sola vez para cubrir los dos.

El resultado es un programa de cumplimiento que no duplica trabajo, que genera evidencias revisables por la AEPD, el CCN-CERT y los auditores externos, y que incluye el protocolo de respuesta a incidentes con los dos relojes de notificación ya calibrados. Para organizaciones que no tienen DPO interno, PrivaLex puede asumir esa función externamente mientras coordina el programa de ciberseguridad NIS2 con el equipo técnico del cliente.

Una auditoría de RGPD es también un buen punto de partida para organizaciones que ya tienen el marco de privacidad parcialmente implantado y necesitan incorporar las obligaciones de NIS2 sobre ese trabajo existente sin empezar desde cero.

Conclusión

NIS2 y el RGPD no son competidores ni sustitutos: son marcos complementarios que se activan ante hechos distintos pero que en el sector sanitario con frecuencia concurren sobre el mismo incidente. La clave no es elegir cuál cumplir primero, sino construir un programa que los gestione de forma coordinada, con un solo inventario de activos, un solo registro de incidentes, un protocolo de notificación que diferencie los dos relojes y una asignación clara de responsabilidades entre el DPO, el responsable de seguridad y la dirección.

Si quieres saber dónde están las brechas de tu organización sanitaria respecto a NIS2 y al RGPD, solicita tu risk assessment gratuito. Si tienes ya un alcance definido, reserva una sesión con nuestro equipo.

Preguntas Frecuentes

Depende del tamaño y de la criticidad del servicio. NIS2 aplica directamente a hospitales que superen los umbrales de tamaño definidos por la directiva (generalmente medianas y grandes empresas). Los hospitales pequeños y clínicas privadas de tamaño reducido pueden quedar fuera del ámbito de aplicación directo de NIS2, aunque siguen obligados por el RGPD en su totalidad al tratar datos de salud. En España, la transposición definitiva de NIS2 puede concretar umbrales adicionales o sectores específicos, por lo que conviene verificar el alcance exacto con criterio legal actualizado.

No. NIS2 y el RGPD tienen objetivos distintos y sus obligaciones no son intercambiables. Cumplir con NIS2 (medidas de ciberseguridad, gestión de incidentes, notificación al CSIRT) no sustituye las obligaciones del RGPD: base jurídica para cada tratamiento, registro de actividades, contratos con encargados, derechos de los interesados, evaluaciones de impacto y notificación a la AEPD en caso de brecha. Son dos programas distintos, aunque puedan compartir controles comunes y documentación base.

Al CSIRT se notifica cuando hay un incidente significativo en los sistemas de información bajo NIS2: plazo máximo de 24 horas para alerta temprana y 72 horas para notificación formal. A la AEPD se notifica cuando hay una brecha de datos personales que pueda afectar a los derechos de los interesados: plazo máximo de 72 horas desde el conocimiento de la brecha. Si el incidente afecta tanto a los sistemas como a datos de pacientes (el escenario más común en un ataque de ransomware hospitalario), las dos notificaciones son obligatorias de forma independiente, con contenidos y destinatarios distintos.

Sí. El artículo 37 del RGPD establece la obligatoriedad del DPO para organizaciones cuya actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos, entre las que se incluyen los datos de salud. Los hospitales, clínicas con volumen relevante de pacientes y centros de diagnóstico están en este supuesto. El DPO puede ser interno o externo, pero debe tener los conocimientos especializados necesarios y la posición en la organización que le permita actuar con independencia.

Sí. Son procedimientos sancionadores independientes de autoridades distintas. Un incidente de ciberseguridad con datos de pacientes comprometidos puede derivar en una sanción de la autoridad supervisora NIS2 por no haber implementado medidas de gestión de riesgos adecuadas, y simultáneamente en una sanción de la AEPD por no haber notificado la brecha de datos en el plazo de 72 horas o por no haber tenido medidas de seguridad proporcionales para proteger datos de categoría especial. La acumulación no está limitada por ninguno de los dos marcos.

Los fabricantes de productos sanitarios críticos pueden quedar clasificados como entidades importantes bajo NIS2, con obligaciones de ciberseguridad que se extienden también a la seguridad de su cadena de suministro de software y hardware. Esto significa que el hospital que compra y opera un dispositivo médico puede exigirle al fabricante evidencias de cumplimiento NIS2 como parte de la relación contractual. Simultáneamente, si el fabricante trata datos de salud de pacientes (por ejemplo, en plataformas de telemetría o diagnóstico en la nube), el RGPD aplica en su totalidad sobre ese tratamiento.

Sin coste
Tu informe de riesgo regulatorio, elaborado por expertos.
Una llamada de 30 minutos con nuestro equipo. Analizamos tu situación frente a RGPD, NIS2 o AI Act y te entregamos un informe de riesgos personalizado
Reservar mi Diagnóstico Gratuito